Как разработать стратегию развития кибербезопасности

Вы — руководитель ИБ-отдела, заинтересованный в выстраивании стратегии кибербезопасности в компании? Предлагаем ознакомиться с ключевыми шагами по формированию такой стратегии, типовыми её разделами и рекомендациями по их содержанию.

 

 

 

 

 

 

1. Введение
2. Процесс стратегического менеджмента, выстроенный в компании
3. Цели развития бизнеса и ключевых функций смежных подразделений
4. Формирование стратегии ИБ
   
   1. 4.1. Внешние и внутренние драйверы разработки
   2. 4.2. Текущее состояние
   3. 4.3. Целевое состояние
   4. 4.4. Дорожная карта развития ИБ (проекты)
5. Выводы

Введение

По статистике, собранной «Инфосистемами Джет» (в опросе принимали участие 90 компаний), у 76 % организаций нет стратегии ИБ, несмотря на то что фокус работы специалистов по кибербезопасности смещается в сторону поддержания эффективности бизнеса и создания долгосрочных стратегий.

Не все специалисты по кибербезопасности, на которых возложили задачу по построению долгосрочных планов развития ИБ, обладают достаточным опытом и знаниями по стратегическому планированию. На базе опыта наших экспертов и лучших практик (Gartner, ENISA, ISO) мы подготовили материал, который позволит специалистам качественно проработать стратегию ИБ для компании.

Процесс стратегического менеджмента, выстроенный в компании

Определите зрелость процесса стратегического менеджмента, принятого в компании, и изучите применяемые практики. Использование этой информации позволит сделать стратегию понятной для представителей топ-менеджмента, которые будут её утверждать.

Факторы, которые нужно учитывать:

• Стадия зрелости компании и её готовность к стратегическому планированию. Не всем компаниям нужны стратегические планы именно в формате стратегии. Для молодой компании с бизнес-целями на полгода-год достаточно сформировать концепцию ИБ (концепция фиксирует цели и задачи, стратегия содержит конкретные сценарии их достижения) или краткосрочный план развития. Собственно стратегия ИБ разрабатывается для зрелой компании, в которой процесс стратегического планирования уже существует. Если ваша компания относится к таковым, уточните, как в ней выстроен стратегический менеджмент и есть ли исходные материалы для разработки стратегии. При отрицательном ответе стоит обратиться к основам стратегического менеджмента (выполнить анализ внешней и внутренней среды, например по методу SWOT, выбрать способы достижения целей и закрепления целевого состояния и т. п.).
• Финансовая модель, принятая в компании. Понимание принятой в компании финансовой модели (в частности, распределения CAPEX и OPEX) позволит спланировать инициативы для дорожной карты и способы их реализации: своими силами, с привлечением аутсорсинга / подрядчика, с помощью сервисных услуг и т. д. Уточните порядок формирования и защиты бюджета.
• Период стратегического планирования, принятый в компании. ИБ-планирование логично выполнять на тот же период, что и стратегическое планирование на уровне бизнеса и / или ИТ: год, три года, пять лет.
• Методы стратегического анализа и подход к постановке целей. Выберите метод стратегического анализа и подход к постановке целей при формировании стратегии ИБ. Если бизнес уже определился с методом общего стратегического планирования — например, применяет SWOT- или PEST-анализ, — можно использовать его и для создания стратегии. Есть множество подходов к постановке целей (SMART, PACT, WISE и т. п.) — отталкивайтесь от реалий компании. Также на этом шаге нужно выяснить, как в компании определяется целевое состояние: через постановку целей, закрытие рисков и / или угроз либо по-другому.
• Уровень проработки стратегий, принятый и / или требуемый в компании. Проанализируйте принятые в компании практики формирования стратегических документов, вложенность стратегий (корпоративная, операционная, функциональная). Изучите стратегии разных уровней: так вы поймёте, насколько глубоко нужно прорабатывать стратегию ИБ.

Рисунок 1. Вложенность стратегий

 

Выберите уровень детализации стратегии. Например, это может быть уровень «птичьего полёта» (helicopter view), когда взгляд на ключевые проблемы ИБ определён, а пути их решения зафиксированы в верхнеуровневом документе, или уровень дорожной карты с перечнем инициатив.

 

Рисунок 2. Функциональные границы разрабатываемой стратегии

• Особенности и формат защиты стратегий. Изучите, как в компании организован процесс защиты, каковы требования к подготовке материалов и кто будет являться лицом принимающим решения. По нашему опыту, к защите перед топ-менеджментом готовят краткую версию стратегии с ключевыми тезисами: рекомендуемый объём презентации — не более 5–8 слайдов.
• Критерии успешности реализации стратегии, принятые в компании. Чтобы говорить с руководством на одном языке при проведении отчётных мероприятий, используйте принятые способы отслеживания выполнения планов и задач — KPI, OKR и т. п.

Цели развития бизнеса и ключевых функций смежных подразделений

Чтобы стратегия ИБ была эффективной и соответствовала общей миссии и целям компании, оцените стремления бизнеса в целом и его подразделений в частности.

Факторы, которые нужно учитывать:

• Стратегия развития бизнеса. Ключевая цель ИБ — обеспечить безопасное развитие бизнеса. Если в компании нет бизнес-стратегии, проведите встречу с топ-менеджментом: зафиксируйте текущие и будущие цели бизнеса, планы развития на год-два-три, ключевые направления и проекты.
• Стратегия ИТ. При изменении ИБ-архитектуры необходимо учитывать имеющийся ИТ-ландшафт компании и развиваться параллельно ему. Любые изменения в стратегии ИТ влекут за собой изменение площади атаки: понимание уязвимых мест поможет спрогнозировать и предотвратить угрозы и уязвимости.
• Стратегии смежных бизнес-подразделений. Кроме глобальной стратегии бизнеса мы рекомендуем изучить стратегии отдельных подразделений, которые имеют общие с ИБ интересы: маркетинга, службы безопасности, кадров. Это позволит учесть уникальные для компании потребности и риски.

Формирование стратегии ИБ

Внешние и внутренние драйверы разработки

Внешние драйверы — обновление законодательства, изменение ландшафта угроз и т. п. — стимулируют трансформацию бизнеса. Проанализируйте среду, в которой функционирует компания, и возможности защиты, представленные на рынке ИБ.

Факторы, которые нужно учитывать:

• Угрозы и уязвимости, применимые к компании. Защита выстраивается не от хакера «в вакууме»: общая активность и методы злоумышленников неодинаковы в разных отраслях. Включите в стратегию примеры ландшафта угроз и данные аналитических отчётов (Positive Technologies, InfoWatch, Gartner, Forrester, ENISA и т. п.), применимые к географии, отрасли и прочим особенностям компании, а также профиль угроз, актуальных для организации.
• Конкурентное окружение. Сравнение с конкурентами важно для понимания того, не топчемся ли мы на месте и не отстаём ли от них. Конкуренты уже вовсю используют сервисный подход, обучаются на киберполигонах и запустили сервис вознаграждения за уязвимости (bug bounty), а мы всё ещё не можем укомплектовать штат? Подсветите ключевые точки роста: включите в стратегию результаты анализа ИБ-процессов конкурентов, отметьте их сильные и слабые стороны. Выводы позволят понять, где компания отстаёт от индустрии в целом.

 Рисунок 3. Пример сравнительной таблицы

• Требования регуляторов по ИБ. Проведите оценку правового статуса компании: проанализируйте, какие нормативные правовые акты к ней применимы и какие требования в сфере ИБ обязательны к выполнению, определите последствия несоблюдения этих требований.
• Внешнеполитические, экономические и социальные факторы. Проанализируйте влияние перечисленных факторов на компанию: изучите, как на область ИБ прямо или косвенно могут повлиять последние изменения в экономической и социальной сфере. Например, внешнеполитические факторы, с которыми отечественный бизнес столкнулся за последние годы, — это уход зарубежных вендоров и запрет на использование СЗИ их производства, а также рост количества и сложности кибератак.
• Прогнозы по ИБ в перспективе двух-трёх лет. Изучите прогнозы по ИБ на ближайшее время: как будет развиваться рынок ИБ, какие угрозы и виды атак станут популярными. Такую аналитику публикуют «Инфосистемы Джет», Positive Technologies, Gartner, «Центр стратегических разработок» и другие организации.
• Тенденции и инновации. Следите за тенденциями в области ИБ, чтобы понимать, не отстаёт ли от них компания и использует ли предлагаемые рынком возможности и разработки. Такую информацию можно найти на различных новостных порталах и в телеграм-каналах, таких как Cyber Media, Anti-Malware, BIS Inside, «Инфосистемы Джет», SecurityLab.ru и прочие. 

Внутренние драйверы уникальны для каждой компании.

Факторы, которые нужно учитывать:

• Ключевые инициативы по развитию бизнеса. Следите за развитием бизнеса (выход на новый рынок, открытие филиалов, появление новых продуктов, сервисов, услуг и т. п.), чтобы своевременно подключать новые меры ИБ.
• Изменения в ИТ-ландшафте. Аналогично отслеживайте развитие ИТ-ландшафта компании: запуск новых сервисов расширяет площадь атаки на компанию. Например, при переходе на микросервисы уже будет недостаточно защиты «железа» в рамках одного периметра.

Текущее состояние

Для корректной постановки целей в области ИБ нужно трезво оценивать текущее состояние компании, понимать её достоинства, недостатки и возможности. Стоит как минимум принять во внимание состояние процессов, технологий и персонала.

Факторы, которые нужно учитывать:

• Состояние процессов ИБ. Процессный подход является целевым для многих компаний. Можно оценить существующий набор процессов в компании (если он есть) или использовать в качестве образца лучшие практики (ISO/IEC 27001, NIST CSF и другие). Измерить оценку состояния помогут модели зрелости — например, CMMI, CMMC, C2M2 или иные модели.
• Защищённость ИТ-инфраструктуры. На этом этапе мы оцениваем защищённость ключевых элементов ИТ-инфраструктуры, бизнес-систем, корпоративной сети. При аудите ИТ-инфраструктуры и оценке достаточности СЗИ рекомендуем ориентироваться на лучшие практики и стандарты (например, CIS Controls, NIST CSF и т. п.).
• Ресурсное обеспечение — кадры и бюджет, выделяемые на ИБ. Для успешной реализации стратегии ИБ нужно проанализировать динамику бюджета на ИБ и загрузку ИБ-специалистов, открытые вакансии и попытки увеличения количества штатных единиц. Результаты анализа позволят выявить недобюджетированные области и пересмотреть статьи расходов, подсветить недостаток кадров ИБ или некорректное распределение их нагрузки.

Рисунок 4. Пример аналитики по бюджету ИБ с разными вариантами разбивки

• Особенности управления в рамках холдинга. Если компания входит в холдинг или группу компаний, уточните, какие методики оценки ИБ использует головная компания, и при необходимости используйте аналогичный подход. Учитывайте опыт других дочерних компаний, чтобы выявить лидеров и отстающих и разработать стратегические планы развития.

Целевое состояние

После анализа текущего состояния ИБ можно приступать к определению состояния целевого — того, к которому компания стремится. На этом же этапе формулируются глобальная миссия и принципы ИБ.

Факторы, которые нужно учитывать:

• Формат целевого состояния (архитектура, соответствие и т. п.). Используя ранее выбранные метод стратегического анализа и подход к постановке целей, определите желаемое состояние в области ИБ.

Примеры способов закрепления целевого состояния ИБ (их можно комбинировать): достижение сформулированных и утверждённых целей ИБ (помните о подходе SMART при постановке целей), достижение целевого уровня зрелости, смена существующей модели ИБ (рис. 5), снижение общего уровня рисков или вероятности реализации недопустимых для компании событий, соответствие требованиям законодательства или стандартам (CIS Benchmarks).

 

Рисунок 5. Переход с модели ИБ «замок и ров» на «нулевое доверие»

 

• Способ отслеживания достижения целевого состояния. После установки целей определите критерии успешности программ и проектов развития. Используйте показатели: KPI, KGI, OKR и другие. 

Дорожная карта развития ИБ (проекты)

Определив инициативы, объедините их в логические блоки и расставьте приоритеты их выполнения.

Факторы, которые нужно учитывать:

• Сводная информация по бюджету ИБ (по разрезам). При защите стратегии перед дорожной картой стоит показать слайд с информацией по затратам: из стоимости проектов дорожной карты будет складываться бюджет. Можно привести обобщение (summary) по бюджету с разбивкой по годам и категориям затрат, а затем раскрыть затраты на уровне карточек проектов (инициатив).

Рисунок 6. Пример обзора бюджетирования информационной безопасности по годам

• Приоритет программ и проектов, включённых в дорожную карту развития ИБ. Если инициатив много, объедините их в программы и приоритизируйте: это позволит сфокусироваться на стратегически важных задачах и улучшить результативность.

При приоритизации можно использовать риск-ориентированный подход, опираться на лучшие практики, фреймворки и рекомендации (НКЦКИ, SwissCyberForum и т. п.), применять математические методы с весовыми коэффициентами для ключевых критериев или использовать балльную систему.

• Трудоёмкость проектов (чьими силами будут выполняться). Укажите, кто будет реализовывать каждую инициативу, достаточно ли внутренних ресурсов и компетенций специалистов компании. При недостатке штатных единиц приведите обоснование по FTE, рассчитайте загрузку и требуемое количество специалистов.

Рисунок 7. Метод расчёта FTE и пример визуализации нагрузки на ИБ-специалистов

 

Рисунок 8. Пример визуализации имеющейся нагрузки на ИБ-специалистов

 

Рисунок 9. Пример визуализации целевой нагрузки на ИБ-специалистов

• Карточки проектов. При выборе второго уровня проработки стратегии дополните дорожную карту карточками планируемых инициатив с ключевыми индикаторами, которые позволят наглядно показать преимущества реализации инициатив и обосновать приоритетность проекта.

Рисунок 10. Формат карточки инициативы с ключевыми индикаторами

• Показатели эффективности проектов, подлежащие мониторингу. Определите для каждой инициативы показатели, которые будут индикаторами того, что мы добились целевого эффекта от реализации проекта; это могут быть, например, KPI, KGI, OKR или другие. Выявление отклонений от заданных показателей позволит скорректировать дорожную карту и цели без потери времени и эффективности.

Примеры показателей — доля критических уязвимостей, устранённых без нарушения соглашения о качестве (SLA), или количество критических уязвимостей, обнаруженных на активах повторно после истечения регламентных сроков устранения.

 

Рисунок 11. Результат разработки дорожной карты — диаграмма Ганта с инициативами по ИБ

 

Выводы

Мы рекомендуем периодически пересматривать и совершенствовать стратегию развития ИБ, отслеживать успешность внедряемых инициатив и, возможно, менять их приоритетность, демонстрировать топ-менеджменту их результативность и получать от него обратную связь.

Когда нужно пересматривать стратегию ИБ? Пересмотр стратегии осуществляется по завершении периода, на который она разрабатывалась, а также если нынешняя стратегия ИБ себя исчерпала и / или не оправдала. Кроме того, в процессе реализации необходимо отслеживать достижение контрольных точек по прошествии каждого года для корректировки поставленных целей с учётом:

• произошедших значительных, ранее неучтённых изменений в бизнесе компании и / или ИТ, изменения приоритетов,
• появления новых внешних драйверов, которые влияют на планы развития и дорожную карту (например, уход вендоров с рынка, санкции, новые нормативные требования),
• переоценки текущего и целевого уровней зрелости ИБ.